Внешний урованеь защиты ОС:
· возможность для администратора настраивать доступ к тем или иным ресурсам пользователей и групп пользователей;
· настройка параметров учетных записей, парметров авторизации;
· настройка пользователями прав доступа к соответствующим данным.
Глубинный уровень безопасности:
· шифрование в системе данных, подлежащих защите;
· разделение физической и виртуальной памяти для предотвращения доступа к данным не имеющими на это права пользователями и приложениями.
Функции безопасности Windows NT:
· Информация о доменных правилах безопасности и учетная информация хранятся в каталоге Active Directory.
· В Active Directory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин (учетные записи могут быть сгруппированы по организационным единицам).
· Административные права на создание и управление группами учетных записей пользователей могут быть делегированы на уровень организационных единиц (возможно установление дифференцированных прав доступа к отдельным свойствам пользовательских объектов).
· Тиражирование Active Directory позволяет изменять учетную информацию на любом контроллере домена, а не только на первичном (копии Active Directory, хранящиеся на других контроллерах домена, обновляются и синхронизируются автоматически).
· Доменная модель изменена и использует Active Directory для поддержки многоуровневого дерева доменов (управление доверительными отношениями между доменами упрощено в пределах всего дерева доменов).
· В систему безопасности включены новые механизмы аутентификации, такие как Kerberos v5 и TLS (Transport Layer Security), базирующиеся на стандартах безопасности Интернета.
· Протоколы защищенных каналов (SSL 3.0/TLS) обеспечивают поддержку надежной аутентификации клиента (осуществляется сопоставление мандатов пользователей в форме сертификатов открытых ключей с существующими учетными записями Windows NT).
В состав Windows NT входит Microsoft Certificate Server, позволяющий выдавать сотрудникам и партнерам (т.е. локальным и удалённым пользователям) сертификаты по протоколу Х.509. Системные администраторы могут указывать, сертификаты каких пользователей являются насколько доверяемыми в системе и, таким образом, контролировать аутентификацию доступа к ресурсам.
Напрашивается вопрос – зачем эта система, ведь она на первый взгляд дублирует базовую систему аутентификации на основе учётных записей. Дело в том, что сертификаты соотносятся с существующими в домене/системе учётными записями, через которые, согласно сертификату, могут быть авторизованы пользователи, не имеющие учетных записей
В распоряжении пользователей находятся простые средства управления парами закрытых (открытых) ключей и сертификатами, используемые для доступа к ресурсам системы.
Потоки же, инициируемые различными пользователями, получают цифровые подписи согласно их сертификатам, что позволяет осуществлять текущую проверку прав доступа.